Empresas e organizações têm à frente o desafio de se adequar aos requerimentos da nova Lei Geral de Proteção de Dados de maneira urgente. A possibilidade de multas no montante de 2% do faturamento do seu último exercício (limitadas a R$ 50 milhões) em adição a outras perdas financeiras e de reputação vindas de um vazamento de dados, apenas aumenta a ansiedade tanto da liderança quanto das equipes técnicas de instituições de todos os setores.
Manual de Boas Práticas
“Vale salientar que a LGPD, é um manual de boas práticas de preservação e proteção de dados sensíveis, ao qual os países desenvolvidos ou em desenvolvimentos estão se adequando em preparo ao mercado moderno e digital – e independente das sanções trazidas pela LGPD, os códigos civil e de defesas ao consumidor junto com o Marco Civil da Internet já regulam e penalizam as empresas que cometem delitos relativos a proteção de Dados”, informou o advogado Marcelio Miglio.
O mercado está preocupado com a incapacidade de parte da sociedade em se adequar as novas regras e o efeito econômico que isso pode causar a sociedade somado ao momento pós pandemia. Contudo vale salientar que apesar de haver sanções vinculadas a Lei, não há órgão sancionador constituído para manutenção e fiscalização, papel desempenhado hoje pelo MP e Judiciário no campo de proteção de dados.
O Mercado cada vez mais informatizado…
A LGPD poderá auxiliar as empresas a se adequarem ao novo mercado pós pandemia, que está cada vez mais informatizado. Além do risco à segurança jurídica, com a vigência repentina da LGPD, as empresas devem também se preocupar com a inexistência do órgão regulador (ANPD), que servirá como balizador para a interpretação da Lei, bem como criação de resoluções complementares à nova Lei.
O QUE MUDA COM A NOVA LEI
Lei Federal 13.709/2018
Conforme o artigo 5º, inciso XVII, da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD),o relatório de impacto à proteção de dados pessoais (RIPD) é um documento de responsabilidade do controlador ou empresa controladora, o qual conterá a descrição dos processos de tratamento de dados pessoais (ciclo de vida) bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O RIPD é uma ferramenta extremamente importante para avaliar e estar em conformidade com a LGPD. Este relatório é utilizado para estruturar os dados pessoais, descrever os processos de tratamentos envolvidos, bem como identificar, analisar e mitigar os riscos de incidentes envolvendo os dados pessoais.
Por se tratar de um documento com informações cruciais para tomadas de decisões dentro da empresa, o RIPD deve estar em constante desenvolvimento, sendo realizado na fase inicial e devendo ser avaliado e revisado ao longo de todo o processo de tratamento de dados. A partir da elaboração deste relatório o controlador terá condições de avaliar a viabilidade da operação desta atividade e produzir um plano de ação eficaz para a mitigação dos riscos.
Outro motivo essencial para não deixar o RIPD sem revisão ou sem estar em conformidade com a LGPD é que o tratamento indevido dos dados pessoais gera riscos desnecessários às liberdades civis e aos direitos fundamentais, podendo ocasionar severas penalidades aos responsáveis e às empresas.
O RIPD é parte indispensável
para demonstrar a implementação de medidas a fim de garantir a conformidade com a Lei. Este relatório se assemelha ao Data Protection Impact Assessment (DPIA), exigido aos países pertencentes à União Europeia – U.E., em razão do General Data Protection Regulation – GDPR, que regulamenta o direito europeu sobre privacidade e proteção de dados, utilizam para avaliação de impacto sobre a proteção de dados nos tratamentos. O RIPD deve ser considerado um instrumento evolutivo e não como um mero exercício pontual.
Mas afinal, minha empresa precisará realizar uma avaliação (DPIA) em todos os processos? A LGPD não é clara quanto as ocasiões em que serão realizadas as avaliações, porém, devem ser realizadas toda vez que o tratamento puder acarretar riscos aos direitos civis e liberdades fundamentais.
O art. 38, da LGPD, contempla os quesitos mínimos que o RIPD deverá conter, sendo eles: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Para facilitar o entendimento, confira a explicação de cada quesito, conforme descrito abaixo.
Na descrição dos tipos de dados coletados, o controlador deverá detalhar quais dados pessoais dos titulares serão coletados e tratados, como por exemplo: nome, CPF, endereço etc. Ademais, é imprescindível informar o titular dos dados se há coleta e tratamento de dados pessoais sensíveis.
No que tange à metodologia utilizada para a coleta, o controlador deverá especificar como será realizada a coleta dos dados pessoais, por exemplo, se será por meio de formulários físicos ou online. Na metodologia para a garantia da segurança das informações, será demonstrado o método utilizado pelo controlador para garantir a segurança da informação.
Já na análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotadosé realizado o gerenciamento e avaliação de riscos, ou seja, deverão ser descritas as medidas utilizadas para identificar, tratar e prevenir incidentes envolvendo os dados expostos, bem como medidas para mitigar as consequências do incidente.
Muito bem explicado! Perfeito, parabéns!
Muito Bom!
Agradeço seus comentários. Estamos trabalhando para editar mais post a fim de compartilhar conhecimento a todos.